面向运营商骨干网的HTTPS数据流审计方法和系统转让专利
申请号 : CN201610988679.9
文献号 : CN106453610B
文献日 : 2019-08-09
发明人 : 刘永强 , 程海龙 , 沈智杰 , 景晓军
申请人 : 深圳市任子行科技开发有限公司 , 任子行网络技术股份有限公司
摘要 :
本发明公开了一种面向运营商骨干网的HTTPS数据流审计方法和系统。所述方法包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文。本发明的方法无需向骨干网中插入审计设备,不干扰骨干网的传输速度,能保障对客户端发送明文的审计工作顺利进行,且不干扰客户端对目标网站的加密访问。
权利要求 :
1.一种面向运营商骨干网的HTTPS数据流审计方法,其特征在于,包括:采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
根据获取到的DNS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端;HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站。
2.根据权利要求1所述的方法,其特征在于,所述当访问数据报文为明文时,通过SSLstrip审计服务器审计并加密访问数据报文,包括:当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。
3.根据权利要求1所述的方法,其特征在于,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
5.根据权利要求4所述的方法,其特征在于,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
6.一种面向运营商骨干网的HTTPS数据流审计系统,其特征在于,包括:DNS欺骗服务器(100),与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
所述DNS欺骗服务器(100),还用于根据获取到的DNS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
前置解析设备(200),与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
SSLstrip审计服务器(300),与所述前置解析设备(200)连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
IP代理服务器(400),用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
SSLstrip审计服务器(300),还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
SSLstrip审计服务器(300),还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端;HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站。
7.根据权利要求6所述的系统,其特征在于,包括:多个SSLstrip审计服务器(300),前置解析设备(200),还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器(300)分配访问数据报文。
8.根据权利要求7所述的系统,其特征在于,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
9.根据权利要求6所述的系统,其特征在于,所述前置解析设备(200),还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
10.根据权利要求9所述的系统,其特征在于,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
说明书 :
面向运营商骨干网的HTTPS数据流审计方法和系统
技术领域
[0001] 本发明涉及HTTPS审计技术领域,特别涉及一种面向运营商骨干网的HTTPS数据流审计方法和系统。
背景技术
[0002] 安全套接字层超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,简称“HTTPS”)是通过利用安全套接子层(Secure Socket Layer,简称“SSL”)来进行加密传输的传输协议,相当于在传统的超文本传输协议(Hyper Text Transfer Protocol,简称“HTTP”)中加入SSL层,由于其安全性而被广泛用于客户端与网站之间的敏感信息传输。
[0003] 当前对HTTPS数据流审计的通用方法,为采用中间人技术对客户端发往服务器端的数据流进行代理转发,例如:SSLstrip技术是一种不要求客户端安装审计设备证书的中间人技术,其基本原理是在客户端与服务器建立连接时,在审计设备与服务器之间形成HTTPS连接,而在客户端与审计设备之间形成HTTP连接,即将SSL层从原HTTPS连接中“剥离”。这样既能对客户端发送的报文进行审计,又能实现客户端与服务器之间的加密传输。
[0004] 但是,上述方法主要是用于网络流量较小的网络环境下(例如:网络流量低于1Gbps),如果是对骨干网络中的数据进行审计的话,由于其网络流量较大,一旦在骨干网络链接中插入审计设备,则会严重影响到骨干网络的数据传输速度,甚至会引发骨干网络链路中段的情况,至使大面积的网路用户受到影响。
发明内容
[0005] 为了解决现有技术的问题,本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法和系统。所述技术方案如下:
[0006] 一方面,本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法,包括:
[0007] 采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
[0008] 根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
[0009] 解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
[0010] 当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
[0011] 根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
[0012] 判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
[0013] 如果反馈信息中包含HTTPS访问方式请求,则通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。
[0014] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,所述当访问数据报文为明文时,通过SSLstrip审计服务器审计并加密访问数据报文,包括:
[0015] 当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。
[0016] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,当访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
[0017] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,所述方法还包括:
[0018] 当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
[0019] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计方法中,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
[0020] 另一方面,本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计系统,包括:
[0021] DNS欺骗服务器,与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;
[0022] 所述DNS欺骗服务器,还用于根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;
[0023] 前置解析设备,与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;
[0024] SSLstrip审计服务器,与所述前置解析设备连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;
[0025] IP代理服务器,用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;
[0026] SSLstrip审计服务器,还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,所述HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站;
[0027] SSLstrip审计服务器,还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端。
[0028] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,包括:多个SSLstrip审计服务器,
[0029] 前置解析设备,还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器分配访问数据报文。
[0030] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,访问数据报文为明文时,访问数据报文为客户端访问目标网站服务器端口80时发送出的报文。
[0031] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,所述前置解析设备,还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
[0032] 在本发明实施例上述的面向运营商骨干网的HTTPS数据流审计系统中,当访问数据报文为加密报文时,访问数据报文为客户端访问目标网站服务器端口443时发送出的报文。
[0033] 本发明实施例提供的技术方案带来的有益效果是:
[0034] 通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计方法,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该方法在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送访问数据报文,保障了审计工作的顺利进行。此外,该方法针对无法审计的加密访问数据,会引导回骨干网络中,保障了用户的正常加密访问。
附图说明
[0035] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0036] 图1是本发明实施例一提供的一种面向运营商骨干网的HTTPS数据流审计方法流程图;
[0037] 图2是本发明实施例一提供的一种域名、欺骗IP、以及真实IP之间对应关系的示例图;
[0038] 图3是本发明实施例一提供的一种面向运营商骨干网的HTTPS数据流审计方法流程图;
[0039] 图4是本发明实施例二提供的一种面向运营商骨干网的HTTPS数据流审计系统的结构示意图。
具体实施方式
[0040] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0041] 实施例一
[0042] 本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计方法,适用于对运营商大流量骨干网络(网络流量在1Gbps以上)的HTTPS数据流审计,参见图1,该方法可以包括:
[0043] 步骤S11,采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求。
[0044] 在本实施例中,骨干网是用来连接多个区域或地区的高速网络,运营商的骨干网络的流量一般较大,针对这类网络进行网络安全审计时,如果在骨干网络中间串入审计设备,会严重影响骨干网的传输速度,甚至会引发骨干网链路中断。因此,为了避免在骨干网中串入审计设备,采用旁路分光的方式,从骨干网中,获取客户端发送的DNS请求,并解析出DNS请求中携带的目标网站的域名,能有效避免上述问题。
[0045] 步骤S12,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息。
[0046] 在本实施例中,为了能对客户端与目标网址之间传输的数据进行安全审计,将客户端发送的DNS请求发出响应信息,并在该响应信息中携带欺骗IP,以使客户端将其访问数据请求按照欺骗IP,发送到所需的审计服务器中。其中,参见图2,域名与欺骗IP之间的对应关系可以形成相应的对照表,并且,欺骗IP与真实IP之间也同时存在相应的对应关系,这样,就可以还原域名与真实IP之间的对应关系。例如:当用户想要访问www.website1.com时,客户端接收到的响应信息中会携带欺骗IP(192.168.100.3),而非其对应的真实IP(202.13.0.1)。
[0047] 步骤S13,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文。
[0048] 在本实施例中,客户端发送的访问数据报文可以是明文发送的(例如采用HTTP形式),也可以是采用加密报文形式发送的(例如采用HTTPS形式),该面向运营商骨干网的HTTPS审计方式,主要是针对明文形式的访问数据报文进行审计的。因此,当访问数据报文为明文时,执行步骤S14;相应地,参见图3,当访问数据报文为加密报文时(即为非明文时),执行步骤S18。
[0049] 具体地,当访问数据报文为明文时,该访问数据报文可以为客户端访问服务器端口80时发送出的报文;当访问数据报文为加密报文时,该访问数据报文可以为客户端访问服务器端口443时发送出的报文。
[0050] 步骤S14,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP。
[0051] 在本实施例中,对于明文形式的访问数据报文,可以通过SSLstrip审计服务器对其进行安全审计,并将审计后的访问数据报文转发至真实IP所对应的目标网站。
[0052] 在本实时中,上述步骤S14还可以通过如下方式实现:
[0053] 当访问数据报文为明文时,采用负载均衡的方式,通过多个SSLstrip审计服务器来审计访问数据报文。
[0054] 在本实施例中,通过负责均衡的方式,将客户端发送的多项明文形式的访问数据报文,分别配置到多个SSLstrip审计服务器中,这样可以加快审计和转发速度,保障了用户的正常访问速度。
[0055] 步骤S15,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站。
[0056] 在本实施例中,对于客户端发送的明文形式的访问数据报文,将直接以原来的访问形式(HTTP访问形式)转发至目标网站服务器中,并等待目标网站服务器对访问数据报文回复反馈信息。
[0057] 需要说明的是,目标网站服务器回复的反馈信息中,可以包含有HTTPS访问方式请求(HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站),也可以包含有HTTP反问方式请求(HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站),因此,针对目标网站服务器的反馈信息,有如下步骤进行处理。
[0058] 步骤S16,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,该HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站。当反馈信息中包含有HTTPS访问方式请求时,执行步骤S17,当反馈信息中包含有HTTP访问方式请求时,直接将反馈信息发送至客户端。
[0059] 步骤S17,通过SSLstrip审计服务器将反馈信息中包含的HTTPS访问方式请求转化为相应的HTTP访问方式请求,并发送至客户端。
[0060] 在本实施例中,通过SSLstrip审计服务器将反馈信息中包含的HTTPS访问方式请求转化为相应的HTTP访问方式请求,并发送至客户端,这样可以使得客户端在之后的访问目标网站时,以HTTP的访问方式进行访问,进而使得SSLstrip审计服务器能对客户端的访问数据报文进行审计,保障了审计工作的顺利进行。此外,需要说明的是,目标网站服务器在反馈信息时,可以以HTTPS的方式进行信息反馈,SSLstrip审计服务器不会对HTTPS方式发送的反馈信息进行修改,并以同样的方式将其转发给客户端,这样保障了目标网站对客户端的HTTPS方式的信息反馈。
[0061] 步骤S18,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
[0062] 在本实施例中,对于SSLstrip审计服务器无法进行审计的加密形式的访问数据报文,通过修正IP的方式,将客户端发送的访问数据报文,引导会骨干网中,以便客户端以HTTPS的访问方式访问目标网站,这样在对客户端与目标网站之间进行安全审计时,又不会影响到客户端与目标网站之间的加密数据流的传输,保障了用户的正常加密访问。
[0063] 本发明实施例通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计方法,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该方法在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送访问数据报文,保障了审计工作的顺利进行。此外,该方法针对无法审计的加密访问数据,会引导回骨干网络中,保障了用户的正常加密访问。
[0064] 实施例二
[0065] 本发明实施例提供了一种面向运营商骨干网的HTTPS数据流审计系统,采用了实施例一所述的方法,参见图4,该系统可以包括:
[0066] DNS欺骗服务器100,与接入运营商骨干网的客户端连接,用于采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求。
[0067] 在本实施例中,骨干网是用来连接多个区域或地区的高速网络(例如在图4中,是由两个不同的路由器之间的连接链路),运营商的骨干网络的流量一般较大,针对这类网络进行网络安全审计时,如果在骨干网络中间串入审计设备,会严重影响骨干网的传输速度,甚至会引发骨干网链路中断。因此,为了避免在骨干网中串入审计设备,采用旁路分光的方式,从骨干网中,获取客户端发送的DNS请求,并解析出DNS请求中携带的目标网站的域名,能有效避免上述问题。
[0068] DNS欺骗服务器100,还用于根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息。
[0069] 在本实施例中,为了能对客户端与目标网址之间传输的数据进行安全审计,将客户端发送的DNS请求发出响应信息,并在该响应信息中携带欺骗IP,以使客户端将其访问数据请求按照欺骗IP,发送到所需的审计服务器中。
[0070] 前置解析设备200,与接入运营商骨干网的客户端连接,用于解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文。
[0071] 在本实施例中,客户端发送的访问数据报文可以是明文发送的(例如采用HTTP形式),也可以是采用加密报文形式发送的(例如采用HTTPS形式),该面向运营商骨干网的HTTPS审计方式,主要是针对明文形式的访问数据报文进行审计的。
[0072] 具体地,当访问数据报文为明文时,该访问数据报文可以为客户端访问服务器端口80时发送出的报文;当访问数据报文为加密报文时,该访问数据报文可以为客户端访问服务器端口443时发送出的报文。
[0073] SSLstrip审计服务器300,与所述前置解析设备200连接,用于当访问数据报文为明文时,审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP。
[0074] 在本实施例中,对于明文形式的访问数据报文,可以通过SSLstrip审计服务器300对其进行安全审计,并将审计后的访问数据报文转发至真实IP所对应的目标网站。
[0075] 具体地,该系统可以包含多个SSLstrip审计服务器300,在此基础上,前置解析设备200,还用于当访问数据报文为明文时,通过负载均衡的方式,为多个SSLstrip审计服务器300分配访问数据报文。
[0076] 在本实施例中,通过负责均衡的方式,将客户端发送的多项明文形式的访问数据报文,分别配置到多个SSLstrip审计服务器300中,这样可以加快审计和转发速度,保障了用户的正常访问速度。
[0077] IP代理服务器400,用于根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站。
[0078] 在本实施例中,对于客户端发送的明文形式的访问数据报文,将直接以原来的访问形式(HTTP访问形式)转发至目标网站服务器中,并等待目标网站服务器对访问数据报文回复反馈信息。
[0079] 需要说明的是,目标网站服务器回复的反馈信息中,可以包含有HTTPS访问方式请求(HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站),也可以包含有HTTP反问方式请求(HTTP访问方式请求用于请求客户端以HTTP的访问方式访问目标网站)。
[0080] SSLstrip审计服务器300,还用于判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,HTTPS访问方式请求用于请求客户端以HTTPS的访问方式访问目标网站。
[0081] SSLstrip审计服务器300,还用于当反馈信息中包含HTTPS访问方式请求时,将其转化为相应的HTTP访问方式请求,并发送至客户端。
[0082] 在本实施例中,当反馈信息中包含有HTTP访问方式请求时,SSLstrip审计服务器300会直接将反馈信息发送至客户端。
[0083] 在本实施例中,SSLstrip审计服务器300会将反馈信息中包含的HTTPS访问方式请求转化为相应的HTTP访问方式请求,并发送至客户端,这样可以使得客户端在之后的访问目标网站时,以HTTP的访问方式进行访问,进而使得SSLstrip审计服务器300能对客户端的访问数据报文进行审计,保障了审计工作的顺利进行。此外,需要说明的是,目标网站服务器在反馈信息时,可以以HTTPS的方式进行信息反馈,SSLstrip审计服务器300不会对HTTPS方式发送的反馈信息进行修改,并以同样的方式将其转发给客户端,这样保障了目标网站对客户端的HTTPS方式的信息反馈。
[0084] 进一步地,前置解析设备200,还用于当访问数据报文为加密报文时,根据预设的欺骗IP与真实IP之间的对应关系,将访问数据报文中的欺骗IP修正为对应的真实IP,并将修正后的访问数据报文发送至运营商骨干网中。
[0085] 在本实施例中,对于SSLstrip审计服务器无法进行审计的加密形式的访问数据报文,通过修正IP的方式,将客户端发送的访问数据报文,引导会骨干网中,以便客户端以HTTPS的访问方式访问目标网站,这样在对客户端与目标网站之间进行安全审计时,又不会影响到客户端与目标网站之间的加密数据流,保障了用户的正常加密访问。
[0086] 本发明实施例通过采用旁路分光的方式,获取运营商骨干网中客户端发送的携带有目标域名的DNS请求;然后,根据获取到的NDS请求和预设的域名与欺骗IP之间的对应关系,获取相应地欺骗IP,并向客户端发送携带相应欺骗IP的响应信息;然后,解析客户端根据欺骗IP发送的访问数据报文,并判断访问数据报文是否为明文;并且,当访问数据报文为明文时,通过SSLstrip审计服务器审计访问数据报文,并根据预设的欺骗IP与真实IP之间的对应关系,获取相应的真实IP;然后,根据获取到的真实IP,采用IP代理方式,将访问数据报文发送至真实IP对应的目标网站;最后,判断目标网站发送的反馈信息中是否包含HTTPS访问方式请求,并当反馈信息中包含HTTPS访问方式请求时,通过SSLstrip审计服务器将其转化为相应的HTTP访问方式请求,并发送至客户端。该面向运营商骨干网的HTTPS数据流审计系统,采用旁路分光的方式来获取运营商骨干网中客户端发送DNS请求,避免了向骨干网中插入审计设备的问题,能有效避免因审计需求,而降低骨干网传输速度的问题;而且,该系统在对客户端发送的明文形式的访问数据报文进行审计的同时,还会将目标网站服务器反馈的HTTPS访问方式请求修改为相应的HTTP访问方式请求,使得客户端在后续访问时,以SSLstrip审计服务器能够进行审计的明文形式发送访问数据报文,保障了审计工作的顺利进行。此外,该系统针对无法审计的加密访问数据,会引导回骨干网络中,保障了用户的正常加密访问。
[0087] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0088] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0089] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。